#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Группа программ-вымогателей BlackSuit, потенциально являющаяся ответвлением Royal, использует передовые тактики, такие как Cobalt Strike для C2 и rclone для утечки данных. Примечательно, что они удаляют данные перед шифрованием, что повышает скорость работы и позволяет избежать несанкционированного доступа. Их методы включают в себя боковое перемещение с помощью команд PsExec, RDP и PowerShell, что усложняет обнаружение и требует принятия надежных мер безопасности.
-----

Недавний анализ, проведенный Cybereason Security Services, подробно описал атаку программ-вымогателей, приписываемую группе BlackSuit, которая появилась в середине 2023 года как потенциальное ответвление Royal ransomware. BlackSuit использует сложные тактики, методы и процедуры (TTP), основанные на таких известных инструментах, как Cobalt Strike для операций командования и контроля и rclone для фильтрации данных. Эта группа особенно выделяется своей стратегией извлечения и удаления фрагментов данных перед шифрованием оставшихся файлов, что отличается от традиционных методов вымогателей. Такой подход не только ускоряет процесс атаки, но и уменьшает объем данных, подлежащих шифрованию, тем самым повышая эффективность работы.

Известно, что во время наблюдаемых атак BlackSuit использует такие инструменты, как PsExec, RDP и процессы Windows, такие как vssadmin, для облегчения горизонтального перемещения внутри сети. Cobalt Strike считается ключевым инструментом для группы, позволяющим устанавливать маяки для подключения C2 и горизонтального перемещения по системам. Использование флага -nomutex при запуске программы-вымогателя BlackSuit позволяет выполнять одновременные действия, что еще раз демонстрирует гибкость тактики группы, направленной на обход механизмов обнаружения, обычно используемых для ограничения операций программ-вымогателей.

Группа BlackSuit демонстрирует постоянную способность использовать команды PowerShell для взаимодействия с серверами управления, о чем свидетельствуют прямые подключения к определенным IP-адресам для загрузки вредоносной полезной нагрузки. Операции вредоносного ПО включали в себя переименование распространенных инструментов, что приводило к трудностям в обнаружении, поскольку законные действия сочетались с вредоносным поведением. Важным аспектом атаки было использование переименованных экземпляров rclone для извлечения примерно 60 ГБ данных.

Учитывая двойное действие BlackSuit - шифрование и удаление данных, - он представляет собой уникальную угрозу, позволяющую злоумышленникам выборочно шифровать данные. Эта возможность исключать определенные типы файлов из-под действия шифрования усиливает тактику обхода, подчеркивая необходимость в надежных системах безопасности, включая сегментацию сети и мониторинг в режиме реального времени для выявления злоупотреблений законными программными средствами. Учитывая, что требования о выкупе составляют от 1 до 10 миллионов долларов, BlackSuit group нуждается в проактивной защите, чтобы противостоять таким продвинутым и эволюционирующим хакерам.

#ParsedReport #CompletenessLow
12-07-2025

Threat Insight: Cybercriminals Abusing Vercel to Deliver Remote Access Malware

https://blog.cyberarmor.tech/threat-insight-cybercriminals-abusing-vercel-to-deliver-remote-access-malware/

Report completeness: Low

Threats:
Logmein_tool

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1204.001, T1204.002, T1219, T1566.002

IOCs:
File: 1
Hash: 6
Domain: 27

Algorithms:
md5, sha256, sha1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Фишинговая кампания использует Vercel для распространения вредоносного варианта LogMeIn, маскирующегося под программу для просмотра Adobe PDF. Пользователей обманом заставляют загружать его, предоставляя злоумышленникам удаленный доступ к своим системам и избегая обнаружения благодаря легитимности LogMeIn.
-----

CyberArmor сообщила о фишинговой кампании, в рамках которой используется Vercel, легальная платформа для хостинга веб-сайтов, для распространения вредоносного варианта LogMeIn, широко известного инструмента удаленного доступа. Эта тактика заключается в том, что киберпреступники рассылают фишинговые электронные письма, содержащие ссылки, перенаправляющие получателей на вредоносную веб-страницу, размещенную на платформе Vercel. Страница умело маскируется под программу просмотра Adobe PDF и предлагает пользователям загрузить файл, который оказывается исполняемым файлом, замаскированным под законный документ.

После запуска загруженное приложение само устанавливается в систему жертвы и подключается к серверу LogMeIn. Это подключение предоставляет киберпреступникам полный удаленный доступ и контроль над скомпрометированным устройством, что фактически позволяет им использовать его в вредоносных целях. Использование доменов Vercel делает попытки фишинга правдоподобными, усиливая доверие, которое пользователи связывают с хорошо известными платформами.

Природа вредоносного ПО снижает риск обнаружения, поскольку LogMeIn является законным инструментом, часто используемым для удаленного обслуживания и поддержки. Эта особенность позволяет вредоносному ПО обходить меры безопасности, которые могут указывать на неожиданное или незнакомое программное обеспечение, что обеспечивает более беспрепятственное проникновение. Кроме того, эффективность этой фишинговой схемы зависит от методов социальной инженерии, при которых жертвы убеждены в подлинности получаемой ими поддержки, что заставляет их добровольно устанавливать вредоносное ПО.

Кампания демонстрирует стратегическое сочетание злоупотреблений законной платформой, социальной инженерии и использования законного программного обеспечения для обхода обнаружения, подчеркивая меняющийся ландшафт угроз, в котором злоумышленники умело манипулируют надежными ресурсами для выполнения своих операций. Использование Vercel для хостинга отражает то, как злоумышленники могут использовать законную инфраструктуру для повышения доверия к себе, поэтому пользователям и организациям крайне важно сохранять бдительность в отношении такой изощренной тактики в продолжающейся борьбе с хакерами.

#ParsedReport #CompletenessLow
03-07-2025

Iran's Intelligence Group 13

https://dti.domaintools.com/irans-intelligence-group-13/

Report completeness: Low

Actors/Campaigns:
Shell_crew (motivation: disinformation, government_sponsored, sabotage, cyber_espionage, propaganda)
Irgc (motivation: government_sponsored, disinformation, propaganda, sabotage)
Cyber_av3ngers (motivation: disinformation, propaganda)
I-soon_leak
Chengdu_404_leak
Nemesis_kitten
Fox_kitten
Tortoiseshell

Threats:
Credential_harvesting_technique
Iocontrol
Echo_chamber_technique

Victims:
Critical infrastructure operators, Industrial control system operators, Water treatment facilities, Fuel distribution systems, Israeli control networks, U.s. water systems, Israeli electrical grids, U.s. election organizations, Hezbollah, Unitronics plcs, have more...

Industry:
Military, Ics, Critical_infrastructure, Petroleum, Telco

Geo:
Iraq, Iranian, Russia, Usa, Iran, China, Kurdistan, Syria, Israel, Chinese, Israeli, Lebanon

ChatGPT TTPs:
do not use without manual check
T1040, T1070.004, T1071.001, T1078, T1190, T1195.002, T1204.002, T1485, T1491, T1499, have more...

IOCs:
Domain: 1
Url: 1

Soft:
confluence, Telegram, Instagram

Platforms:
arm

#ParsedReport #ExtractedSchema

Classified images:
schema: 6

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Разведывательная группа 13, входящая в состав КСИР Ирана, проводит агрессивные кибероперации, нацеленные на критически важную инфраструктуру, используя такие тактики, как предварительное размещение вредоносных программ и инсайдерских угроз. Они сочетают кибератаки с психологической войной, примером чего служит их пропагандистское подразделение CyberAveng3rs, чтобы манипулировать информацией и сеять страх. Их способность адаптироваться через дочерние компании позволяет проводить тайные операции под видом законного бизнеса, повышая их наступательные возможности.
-----

Разведывательная группа 13 действует при Корпусе стражей исламской революции (КСИР) и специализируется на тактических кибероперациях, включая шпионаж и промышленный саботаж. Группа сосредоточена на критически важной инфраструктуре и нацелена на системы водоснабжения США и израильские сети. Она использует агрессивные методы цифрового возмездия, особенно в геополитических конфликтах. Группа тесно сотрудничает с другими подразделениями киберкомандования КСИР, получая ресурсы для проведения наступательных операций с правдоподобным опровержением. Ее операциями руководят такие ключевые фигуры, как Хамидреза Лашгариан и Реза Саларванд. Разведывательная группа 13 использует сложные тактические приемы, такие как предварительное размещение вредоносных программ и инсайдерских угроз, нацеленных, в частности, на промышленные системы управления (ICS) и SCADA-системы, с акцентом на ПЛК Unitronics и водоочистные сооружения. Их операции дополняются использованием CyberAveng3rs, подразделения психологической войны, которое распространяет информацию и демонстрирует вторжения через социальные сети. КСИР действует через сеть дочерних компаний, которые маскируются под поставщиков услуг в области кибербезопасности, что способствует проведению тайных операций, сохраняя при этом правдоподобное отрицание. Ожидается, что будущая деятельность будет сосредоточена как на кибератаках, так и на психологических операциях по дестабилизации критически важной инфраструктуры и манипулированию общественным мнением.

#ParsedReport #CompletenessHigh
18-06-2025

Filch Stealer: A new infostealer leveraging old techniques

https://www.rapid7.com/blog/post/filch-stealer-a-new-infostealer-leveraging-old-techniques/

Report completeness: High

Threats:
Filch_stealer
Process_hollowing_technique
Clickfix_technique
Fakecaptcha_technique
Process_injection_technique

Industry:
Financial

TTPs:
Tactics: 2
Technics: 15

IOCs:
File: 24
Path: 3
Domain: 1
Hash: 6
Url: 1
IP: 2

Soft:
TradingView, Windows Defender, Chrome

Wallets:
metamask, coinbase, ledgerlive, exodus_wallet, keplr, bybit, solflare_wallet, bitget_wallet, auro_wallet, coin98, have more...

Crypto:
binance

Algorithms:
base64, sha256, zip

Languages:
powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #CompletenessMedium
08-07-2025

Inside a Red Bull-themed recruitment phishing campaign

https://evalian.co.uk/inside-a-red-bull-themed-recruitment-phishing-campaign/

Report completeness: Medium

Threats:
Spear-phishing_technique

Industry:
Telco, Education

TTPs:

ChatGPT TTPs:
do not use without manual check
T1071.001, T1199, T1204.002, T1557.003, T1566.002, T1585.001, T1608.004

IOCs:
Email: 1
Url: 2
IP: 2
Domain: 13

Soft:
SendGrid, Ubuntu, nginx

Languages:
php

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В недавней фишинговой кампании использовалась поддельная страница входа в Facebook для сбора учетных данных, что позволило избежать обнаружения с помощью надежных сервисов и защиты по протоколу HTTPS. Злоумышленники использовали сложную тактику, включая механизмы задержки и многоразовые фишинговые наборы, что указывает на эволюцию методов фишинга, позволяющих обойти стандартные меры безопасности.
-----

Фишинг по-прежнему остается высокоэффективной тактикой, применяемой хакерами, поскольку они постоянно совершенствуют методы обхода мер безопасности. Недавняя фишинговая кампания, выявленная Оперативным центром безопасности Evalian, иллюстрирует эту тенденцию, демонстрируя, как злоумышленники могут успешно применять сложные стратегии, позволяющие обойти стандартные средства защиты предприятия. Кампания использовала поддельную страницу входа в Facebook для сбора учетных данных пользователей, используя дружелюбный тон для привлечения жертв, скрывая при этом злой умысел.

Дизайн электронного письма позволил ему обойти обычные спам-фильтры, достигнув уровня достоверности, равного 1, благодаря использованию надежных сервисов, таких как Mailgun и SendGrid. Подобная практика использования надежных инфраструктур становится все более распространенной в попытках фишинга, позволяя злоумышленникам отправлять вредоносные ссылки, не задействуя базовые протоколы безопасности. Примечательным аспектом этой конкретной кампании было намеренное создание задержек в ответах сервера, о чем свидетельствует ошибка тайм-аута шлюза 504. Эта тактика разработана для того, чтобы избежать обнаружения с помощью изолированных систем и автоматических сканеров, которые часто преждевременно завершают анализ.

Фишинговая страница была отправлена по протоколу HTTPS с использованием действительного сертификата TLS от Let's Encrypt, который не требует тщательной проверки владения доменом, что позволяет хакерам легко создать видимость законности. Инфраструктура этой кампании была тщательно организована: серверы, размещенные на виртуальных частных серверах с низким уровнем доверия (VPS), и несколько доменов были быстро развернуты, чтобы помочь в борьбе с фишингом. Детальное расследование выявило общие характеристики фишинговых доменов, что указывает на скоординированный подход, вероятно, связанный с использованием многоразового набора для фишинга, используемого одними и теми же злоумышленниками.

Исходное фишинговое электронное письмо, предназначенное для одной организации, потенциально могло быть нацелено на другие, что представляло более высокий риск для нескольких жертв. Стратегия хакера включала в себя сложные уровни обмана, включая имитацию законных организаций в брендинге и контенте, использование средств автоматизации и внедрение методов уклонения от наблюдения, таких как рабочие формы reCAPTCHA. Это свидетельствует о значительном прогрессе в фишинговых операциях, который позволил выйти за рамки элементарных атак, характеризующихся очевидными ошибками.

Оперативный анализ этой кампании подчеркивает важность оценки фишинговых сообщений электронной почты, выходящей за рамки базовых проверок подлинности электронной почты (SPF, DKIM, DMARC), поскольку эти меры не гарантируют общей безопасности. Вместо этого для обнаружения таких угроз требуется всесторонний анализ взаимодействий с пользователями, подозрительных URL-адресов и структур инфраструктуры, задействованных в атаке. Злоумышленники используют передовые тактики и используют установленные механизмы доверия больше, чем когда-либо, повышая ставки для организаций, которые должны усилить свою защиту от таких развивающихся угроз.

#ParsedReport #CompletenessLow
08-07-2025

SparkKitty Trojan Targets Mobile Users with Cross-Platform Espionage

https://blog.polyswarm.io/sparkkitty-trojan-targets-mobile-users-with-cross-platform-espionage

Report completeness: Low

Threats:
Sparkkitty
Sparkcat

Industry:
Entertainment

Geo:
Chinese, China, Asian, Asia

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1406, T1407, T1412, T1430, T1437, T1444

IOCs:
File: 1
Hash: 7

Soft:
android, Google Play, TikTok

Algorithms:
base64, aes-256

Languages:
objective_c, java, kotlin

Platforms:
cross-platform, apple

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
SparkKitty - это универсальная вредоносная программа, предназначенная для Android и iOS, которая крадет все изображения из галереи посредством распространения законных и вредоносных приложений. Он использует передовые технологии, такие как корпоративная инициализация на iOS и вредоносные модули Xposed на Android, чтобы избежать обнаружения, отправляя конфиденциальные данные на сервер C2 и используя облачные сервисы для доставки полезной нагрузки.
-----

SparkKitty - это сложная вредоносная программа, которая распространяется как через легальные магазины приложений, так и через вредоносные веб-сайты, особенно нацеленная на приложения, связанные с криптовалютой. В отличие от своего предшественника, SparkCat, который выборочно удалял изображения, SparkKitty крадет все изображения из галереи, повышая риск раскрытия конфиденциальных данных. Вредоносная программа нацелена как на платформы Android, так и на iOS, используя такие языки программирования, как Java, Kotlin и Objective-C, для создания цепочек заражения, зависящих от конкретной платформы.

В iOS SparkKitty избегает проверки app Store, используя корпоративные профили обеспечения, что позволяет распространять вредоносные приложения в обход обычного процесса проверки. Он часто встраивается в мошеннические платформы, имитирующие установленные библиотеки, о чем свидетельствует его доставка через приложение coin, которое отслеживает криптовалюты. Вредоносная программа использует функцию автоматической загрузки классов Objective-C, которая активируется во время запуска приложения, в частности, для выбора `+ AFImageDownloader load`. Таким образом, как только пользователь открывает зараженное приложение, оно выполняет проверку подлинности по Info.plist приложения, чтобы предотвратить выполнение в нетипичных средах. После проверки он расшифровывает данные конфигурации, закодированные в Base64, с помощью AES-256 в режиме ECB для доступа к изображениям из фотогалереи и их передачи на сервер управления и контроля (C2).

Android-версии SparkKitty, написанные на Java и Kotlin, выполняются аналогичным образом, при этом некоторые из них используют вредоносные модули Xposed для внедрения кода в надежные приложения. Вредоносное ПО в основном активируется при запуске приложения или при определенных действиях пользователя. Программа извлекает удаленные настройки и запрашивает разрешения на хранение для доступа к изображениям. Примечательно, что SparkKitty отфильтровывает все доступные фотографии, а не выборочно выбирает конкретные, что повышает вероятность получения конфиденциальных данных, таких как финансовые документы или документы, удостоверяющие личность. Кроме того, вредоносная программа поддерживает локальную базу данных для отслеживания загруженных изображений и отслеживает галерею на предмет любых новых дополнений к exfiltrate.

Инфраструктура кампании использует AWS S3 и Alibaba OSS для доставки полезной нагрузки, что повышает ее устойчивость к попыткам демонтажа. SparkKitty, в частности, появляется в приложениях, связанных с высокорискованными отраслями, такими как криптовалюта, азартные игры и контент для взрослых, включая модифицированные версии популярных приложений, таких как TikTok. В первую очередь он ориентирован на пользователей в Юго-Восточной Азии и Китае, но обладает технической базой, которая не имеет региональных ограничений. Пользователям рекомендуется избегать хранения конфиденциальной информации в своих галереях и с осторожностью относиться к источникам, из которых они загружают приложения, подчеркивая важность бдительности, учитывая возможности SparkKitty по проникновению на надежные платформы.

#ParsedReport #CompletenessMedium
20-05-2025

Sarcoma Ransomware Unveiled: Anatomy of a Double Extortion Gang

https://www.tinextacyber.com/wp-content/uploads/2025/05/Sarcoma-Ransomware.pdf

Report completeness: Medium

Threats:
Sarcoma
Cryptopp_tool
Antidebugging_technique
Conti
Lockbit
Revil

Victims:
Smart media group, Unimicron, Tma group, The toolshed

Industry:
Ics

Geo:
Armenia, Spain, Kyrgyzstan, Australia, Russian, Moscow, Canada, Taiwan, Tajikistan, Azerbaijan, Bulgaria, Usa, New zealand, Kazakhstan, United kingdom, Brazil, Russia, Belarus, Italy, Uzbekistan

ChatGPT TTPs:
do not use without manual check
T1005, T1016, T1027, T1036.005, T1047, T1059.001, T1070.004, T1071.001, T1078, T1082, have more...

IOCs:
Hash: 2
Command: 1
File: 12

Soft:
Linux, MySQL, SQLAGENT, SQLbrowser, Microsoft SQL Server, tor browser, PostgreSQL

Algorithms:
exhibit, chacha20-poly1305, prng, chacha20

Functions:
Remove-Item

Win API:
GetKeyboardLayout, WinExec, deCOmPRESs, LogonUserA

Languages:
powershell

Platforms:
x86, intel

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #CompletenessHigh
12-07-2025

Crypto Wallets Continue to be Drained in Elaborate Social Media Scam

https://www.darktrace.com/blog/crypto-wallets-continue-to-be-drained-in-elaborate-social-media-scam

Report completeness: High

Actors/Campaigns:
Mp-6
Crazy_evil

Threats:
Meeten
Realst
Amos_stealer
Traffer_technique
Rclone_tool
Nmap_tool
Akira_ransomware
Sim_swapping_technique
Bec_technique

Victims:
Cryptocurrency users, Influencers, Defi professionals, Gaming communities, Cloud service customers, Corporate users, Saas users, Microsoft 365 users, Google workspace users

Industry:
Entertainment, Financial, E-commerce

Geo:
Middle east, Africa, Emea, Italian

TTPs:
Tactics: 5
Technics: 0

IOCs:
Url: 8
Hash: 11
Domain: 6
File: 2
IP: 6

Soft:
Twitter, macOS, Telegram, Discord, Electron, QEMU, Office365, Dropbox

Algorithms:
xor, zip, base64

Languages:
python, objective_c, swift, javascript, applescript

YARA: Found